четверг, 20 ноября 2014 г.

Как включить контроль учетных записей в системной политике

  Решил я проверить как меняются настройки системной политики для контроля учетной записи (UAC) Windows. Это вертикальный полозок, который обычно опускают в самый низ, отключая эту фичу. Хотя у нее куча преимуществ, а недостатки решаются средствами совместимости приложений.
Скрин 1. UAC включен по умолчанию

  Мне хотелось выяснить, что в политиках надо поменять, чтобы включить UAC. Делалось это так - полозок UAC поднимался в значение по умолчанию (второе сверху в Windows 7, как на скрине 1). Потом в secpol.msc в разделе "Параметры безопасности" \ "Локальные политики" \ "Параметры безопасности" смотрел параметры системных политик Контроля учетных записей (UAC).
  Параметры политики для включении UAC:
  1. Контроль учетных  записей пользователей: режим одобрения администратором для встроенной учетной записи администратора - "Отключить"
  2. Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол - "Отключить"
  3. Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором - "Запрос согласия для двоичных данных не из Windows"
  4. Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей - "Запрос учетных данных на безопасном рабочем столе"
  5. Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав - "Включен"
  6. Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов  - "Отключить"
  7. Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах - "Включить"
  8. Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором - "Включить"
  9. Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав  - "Включить"
  10. Контроль учетных записей пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя  - "Включить"
  Забегая вперед скажу, что при полном отключении UAC меняются только параметры пунктов 3, 4, 8, 9.